Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    two openvpn daemons with different wan interface

    Deutsch
    3
    6
    430
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      fettfoen
      last edited by

      Hi Community,

      my setup, one pfsense with one lan and two wan interfaces. My lan interface is only used for gui and ssh administration.

      i setup two openvpn services litening on ports (1194, 1195). Each daemon has a his own wan interface where receives openvpn connections.

      Connections on both interfaces are successful. But the traffic is only tunneld throught my "first wan interface". Thats not my destination. In this case both connections gets the same public ip.

      How can i setup that each services are receiving auth request and send traffic to his own wan interface?

      Example:

      daemon1:
      port 1194
      WAN: 192.168.10.10/24 --> receiving auth and tunnel traffic 192.168.10.10
      Internal: 10.10.10.10/24

      daemon2:
      1195
      WAN: 192.168.10.20/24 --> receiving auth and tunnel traffic 192.168.10.10, why not 192.168.10.20 - Help?
      Internal: 10.10.10.20/24

      My default gateway is 192.168.10.1.

      Best regards
      fettfoen

      Thanks for help

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        Hallo,

        das hier ist das deutschsprachige Forum. So nehme ich an, dass du dieser Sprache auch mächtig bist.

        Du hast also die VPN Server dafür eingerichtet, um über diese ins Internet zu gehen?
        Standardmäßig gehen natürlich alle Verbindungen Richtung Internet über das Default Gateway. Dieses ist wohl am WAN1 konfiguriert, somit erhalten die Pakete als Quell-IP die von WAN1.

        Wenn du die Verbindungen von VPN2 über WAN2 raus schicken möchtest, benötigst du

        • am WAN2 ein Gateway, welches die Pakete weiterleitet. System > Routing > Gateways > Add
        • eine Policy based Routing Regel am Interface des VPN2 Servers oder auf OpenVPN.
          Dazu muss du eine Pass-Regel anlegen mit Source = 'VPN2 Tunnel Netzwerk', die Advanced Options öffnen und bei Gateway das WAN2 GW auswählen. Diese Regel muss oberhalb der Standard-Erlauben Regel platziert werden, damit sie zur Anwendung kommt.
        • eine Outbound NAT Regel für diese Verbindungen.
          Das Outbound NAT erst in den Hybrid Modus schalten, falls es, wie standardmäßig, im Automatik-Modus arbeitet.
          Dann eine Regel hinzufügen: Interface = WAN, Source = VPN2 Tunnel Netzwerk, Destination = any, Translation = Interface Address.

        Grüße

        1 Reply Last reply Reply Quote 0
        • F
          fettfoen
          last edited by fettfoen

          Hey,

          danke für deine Antwort. Deinen Vorschlag werde ich versuchen umzusetzen. In der Zwischenzeit habe ich folgendes ausprobiert:

          Ich habe auf dem openVPN interface zwei Regeln erstellt:

          IPv4 * 10.10.0.0/24 * * * GW_WAN1 none vpn1

          IPv4 * 10.20.0.0/24 * * * GW_WAN2 none vpn2

          Ich habe anstatt das "default" Gateway, das jeweilige WAN Interface angegeben (policy routing). Dies funktioniert auch. Komm ich mit Port 1194 angesurft wird der Traffic duch GW_WAN1 getunnelt (meine öffentliche IP ist nun die GW_WAN1 Adresse. Für den VPN Service, welcher auf 1195 lauscht gilt dasselbe (öffentl. IP GW_WAN2).

          Ich habe also eigentlich alles was ich wollte.

          Allerdings habe ich gerade bemekrt, dass ich auf die WEBGui der Pfsense komme, ssh ist auch kein Problem, obwohl http, https, ssh nur auf dem LAN Interface erlaubt ist.

          Was ist nicht ganz verstehe, wenn ich mich als admin anmelde wird mir auf dem Dashboard angezeigt, dass ich mit der virtuellen VPN IP verbunden bin.

          admin@10.10.0.2 (Local Database)

          Mache ich eine grundsätzlichen Denkfehler?

          LG
          Micha und Danke

          1 Reply Last reply Reply Quote 0
          • V
            viragomann
            last edited by

            Allgemein gilt, wenn in der Regel jedes Ziel und jeder Port erlaubt sind, ist auch Zugriff auf die WebGUI möglich. Deshalb sollten die Regeln eingeschränkt werden bzw. eine Block-Regel darüber gesetzt werden.

            Jedoch sollte der WebGUI Zugriff in deinem Fall über eine Policy Routing Regel nicht möglich sein. Diese Regeln dürften nur Traffic ermöglichen, die über das jeweilige Gateway gehen. Damit würden die Pakete über das WAN Interface reinkommen und da sollte ein Zugriff auf die WebGUI nicht erlaubt sein.
            Daher würde ich die Sache untersuchen, indem ich das Logging in den Regeln aktiviere und im Firewall nachsehe, welche Regel den Zugriff tatsächlich erlaubt.

            Ansonsten, wenn generell von den VPNs nur Internet erlaubt werden soll, kannst du die Regel einschränken.
            Ich erstelle mir hierzu einen Alias mit allen RFC 1918 Netzen (also alle privaten Netzen, und intern verwende ich nur solche). Diesen setze ich in der Pass-Regel als Ziel mit "invert match" angehakt, das dann heißt, die Regel erlaubt alle Ziele außer RFC 1918.

            Grüße

            1 Reply Last reply Reply Quote 0
            • kiokomanK
              kiokoman LAYER 8
              last edited by kiokoman

              This post is deleted!
              1 Reply Last reply Reply Quote 0
              • F
                fettfoen
                last edited by

                Hallo,

                die Regel einzuschränken war natürlich eine gute Idee. Ich habe jetzt einfach verboten, dass das VPN Netz auf das LAN Interface zugfreifen darf, somit habe ich nun fast alles was ich wollte.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.